Żadne zabezpieczenia nie są idealne i hakerzy nieustannie nam to pokazują. Podczas gdy specjaliści od cyberbezpieczeństwa dwoją się i troją, poprawiając zabezpieczenia różnych systemów czy usług, druga strona równie intensywnie główkują nad sposobami ich obejścia. Niestety, w takich czasach żyjemy i trzeba się z tym pogodzić, dokładając ze swojej strony wszelkich starań, by dbać o swoje bezpieczeństwo w sieci. Jednym ze sposobów na taką ochronę jest korzystanie z menedżerów haseł, które zdejmują z nas konieczność wymyślania i przede wszystkim zapamiętywania skomplikowanych (a więc trudnych do złamania) haseł. Na rynku znajdziemy wiele takich usług i jeszcze do niedawna jedną z lepszych był LastPass.
Dlaczego do niedawna? Bo po raz kolejny w ciągu zaledwie kilku miesięcy popularny menadżer padł ofiarą ataku hakerskiego. To pokazuje jedno – LastPass nie jest już bezpieczny
Jak już wspomnieliśmy – takie rzeczy się zdarzają i po jednej takiej wpadce nie można jeszcze nikogo skreślać. W przypadku LastPass tym najnowszym pierwszym razem był incydent z sierpnia, kiedy to hakerom udało się uzyskać dostęp do kodu źródłowego i technicznych informacji. Nie zostały wówczas skradzione żadne dane klientów, a firma obiecała, że dołoży wszelkich starań, by w przyszłości taka sytuacja się nie powtórzyła. I co?
Obiecanki cacanki, a głupiemu radość, jak mówi popularne powiedzenie. Klienci uwierzyli, zostali, a w listopadzie dostali kolejną wiadomość o złamanych zabezpieczeniach. Wówczas okazało się, że była to właściwie kontynuacja sierpniowego ataku, a hakerom udało się uzyskać dostęp do niektórych informacji o klientach, choć jak zapewnił LastPass:
Hasła naszych klientów pozostają bezpiecznie zaszyfrowane dzięki architekturze Zero Knowledge LastPass.
Czytaj też: Kolejny wyciek danych z LastPass. Podpowiadamy, jaki menedżer haseł wybrać zamiast niego
Nie zabrakło oczywiście kolejnych zapewnień o dochodzeniu i poprawie zabezpieczeń, tylko niestety, po raz kolejny LastPass okazał się gołosłowny. 22 grudnia poinformowano o kolejnym ataku i tym razem hakerom udało się uzyskać dostęp do haseł użytkowników. Dokładnie do chmurowej usługi przechowywania danych, którą firma wykorzystywała do przechowywania zarchiwizowanych kopii zapasowych i danych produkcyjnych. Sprawca ataku skopiował informacje z backupu, uzyskując dostęp do danych o klientach, takich jak: nazwy firm, adresy e-mail, numery telefonów, adresy IP czy informacje rozliczeniowe. Najważniejsze jest jednak to, że skopiowano również dane zaszyfrowanych sejfów przechowywane w formacie binarnym, na których znalazły się hasła i nazwy użytkowników.
W teorii nie ma się czego bać, bo do uzyskania dostępu do tych sejfów potrzebne są hasła, których LastPass nie zna, a które powinny być odpowiednio skomplikowane i zawierać co najmniej 12 znaków. Takie hasła powinny być też unikalne, a co za tym idzie – nie ma szans, by kiedykolwiek wcześniej wyciekły do sieci. Nie ma szans… cóż, teoria to jedno, a praktyka – zwłaszcza w przypadku tworzenia haseł – to coś zupełnie innego.
Czytaj też: Hasło “hasło” nadal na topie. Podpowiadamy, jak wymyślić hasło, którego nie złamie trzylatek
Te zaszyfrowane pola pozostają zabezpieczone 256-bitowym szyfrowaniem AES i można je odszyfrować tylko za pomocą unikalnego klucza szyfrującego uzyskanego z hasła głównego każdego użytkownika przy użyciu naszej architektury Zero Knowledge. Przypominamy, że hasło główne nigdy nie jest znane LastPass i nie jest przechowywane ani utrzymywane przez LastPass. – uspokaja LastPass.
I znowu firma uspokaja, że nie ma się czego bać, dodatkowo dodając, że nie ma dowodów na to, by cyberprzestępcy podczas ataku uzyskali dostęp do danych kart płatniczych. Zaraz pewnie pojawią się kolejne obietnice i zapewnienia, ale to nie wystarczy. Tymczasem firma radzi użytkownikom, by zminimalizowali ryzyko, „zmieniając hasła do przechowywanych stron internetowych”. Podczas bożonarodzeniowego zamieszania… Zajęcie marzeń. Dodatkowo dochodzi do tego jeszcze strach, że być może przestępcy uzyskali dostęp do kart płatniczych…
Trzy tegoroczne włamania ewidentnie były ze sobą powiązane, a fakt, że po pierwszym doszło do dwóch kolejnych pokazuje, że firma nie była w stanie odpowiednio się zabezpieczyć, narażając swoich klientów (a tych ma około 33 mln), na poważne zagrożenie. Dlatego, jeśli korzystacie z menedżera haseł LastPass – znajdźcie nowy. Nawet jeśli hakerom nie uda się uzyskać dostępu do waszych haseł, nadal trzeba pamiętać, że oprócz nich wyciekły też inne dane, którymi cyberprzestępcy także mogą posłużyć się w niecnym celu.